Regel auf Live-Daten anwenden

Unterstützt in:

Wenn Sie eine Regel erstellen, wird nicht sofort nach Erkennungen gesucht, die auf Ereignissen basieren, die in Ihrem Google Security Operations-Konto in Echtzeit empfangen wurden. Sie können die Regel jedoch so festlegen, dass in Echtzeit nach Erkennungen gesucht wird. Aktivieren Sie dazu die Option Live-Regel.

So aktivieren Sie eine Regel:

  1. Klicken Sie auf Erkennung > Regeln und Erkennungen.

  2. Klicken Sie auf den Tab Dashboard für Regeln.

  3. Klicken Sie für eine Regel auf das Dreipunkt-Menü  more_vert Regeln und aktivieren Sie die Option Live-Regel.

    Live-Regel

    Live-Regel

  4. Wählen Sie Erkannte Regelverstöße ansehen aus, um erkannte Verstöße einer Liveregel aufzurufen.

Kontingent für Displayregeln

Klicken Sie rechts oben im Dashboard „Regeln“ auf Kapazität der Regeln, um die Limits für die Anzahl der Regeln aufzurufen, die als „Live“ aktiviert werden können.

Das Google Security Operations-Team ergreift folgende Maßnahmen, um die Sicherheit zu erhöhen:

  • Kontingent für Regeln für mehrere Ereignisse: Die aktuelle Anzahl der Live-fähigen Regeln für mehrere Ereignisse und das zulässige Maximum. Weitere Informationen zum Unterschied zwischen Regeln für einzelne Ereignisse und mehrere Ereignisse
  • Kontingent für Regeln insgesamt: Die aktuelle Gesamtzahl der Regeln, die für alle Regeltypen als „Live“ aktiviert sind, und die maximale Anzahl der Regeln, die als „Live“ aktiviert werden können.

Regelausführungen

Die Ausführung von Live-Regeln für einen bestimmten Ereigniszeit-Bucket wird mit abnehmender Häufigkeit ausgelöst. Es erfolgt ein abschließender Bereinigungslauf, nach dem keine weiteren Ausführungen gestartet werden.

Bei jeder Ausführung werden die neuesten Versionen der Referenzlisten verwendet, die in den Regeln verwendet werden, sowie die neuesten Ereignis- und Entitätsdaten angereichert.

Einige Erkennungen können rückwirkend generiert werden, wenn sie erst bei späteren Ausführungen erkannt werden. Bei der letzten Ausführung wurde beispielsweise die neueste Version der Referenzliste verwendet, mit der jetzt mehr Ereignisse erkannt werden. Außerdem können Ereignis- und Entitätsdaten aufgrund neuer Datenanreicherungen noch einmal verarbeitet werden.

Entfernen von Duplikaten

Die Regel-Engine erkennt automatisch doppelte Erkennungen und entfernt sie aus den Regeln. Dieser Vorgang gilt nur für Regeln mit Abgleichsvariablen, da sie auf zeitbasierten Zeitfenstern basieren. Erkennungen mit identischen Werten der Abgleichsvariablen innerhalb sich überschneidender Zeitfenster werden als Duplikate unterdrückt.

Erkennungslatenzen

Wie lange es dauert, bis eine Erkennung anhand einer Live-Regel generiert wird, hängt von verschiedenen Faktoren ab. Die folgende Liste enthält die verschiedenen Faktoren, die zu Verzögerungen bei der Erkennung beitragen:

Regeltypen

  • Regeln für einzelne Ereignisse werden nahezu in Echtzeit per Streaming ausgeführt. Verwenden Sie nach Möglichkeit diese Regeln, um die Latenz zu minimieren.
  • Mehrerereignisregeln werden geplant ausgeführt. Aufgrund der Zeit zwischen den geplanten Ausführungen kommt es zu einer höheren Latenz.

Ausführungshäufigkeit

Verwenden Sie eine kürzere Ausführungshäufigkeit und ein kleineres Abgleichfenster, um schnellere Erkennungen zu erzielen. Mit kürzeren Abgleichszeitfenstern (unter einer Stunde) können Sie die Ausführung häufiger planen.

Verzögerung bei der Datenaufnahme

Die Daten müssen so schnell wie möglich nach dem Ereignis an Google Security Operations gesendet werden. Achten Sie bei der Überprüfung einer Erkennung auf die UDM-Ereignis- und Datenaufnahmezeitstempel.

Kontextbezogene Joins

Bei Regeln mit mehreren Ereignissen, die Kontextdaten wie UEBA oder den Entitätsgraphen enthalten, kann es zu längeren Verzögerungen kommen. Die Kontextdaten müssen zuerst von Google SecOps generiert werden.

Angereicherte UDM-Daten

Google SecOps ergänzt Ereignisse mit Daten aus anderen Ereignissen. In der Ereignisanzeige sehen Sie, ob eine Regel ein angereichertes Feld auswertet. Wenn in der Regel ein angereichertes Feld ausgewertet wird, kann die Erkennung verzögert werden.

Probleme mit der Zeitzone

Bei Echtzeitdaten werden Regeln häufiger ausgeführt. Daten können zwar in Echtzeit eintreffen, aber Google SecOps behandelt sie möglicherweise trotzdem als verspätet eingetroffene Daten, wenn die Ereigniszeit aufgrund von Zeitzonenproblemen falsch ist. Die Standardzeitzone von Google SecOps SIEM ist UTC. Wenn der Zeitstempel eines Ereignisses in den ursprünglichen Daten auf eine andere Zeitzone als UTC festgelegt ist, aktualisieren Sie die Zeitzone der Daten. Wenn die Zeitzone in der Logquelle nicht aktualisiert werden kann, wenden Sie sich an den Support, damit die Zeitzone überschrieben werden kann.

Regeln für Nichtvorhandensein

Regeln, die prüfen, ob etwas nicht vorhanden ist (z. B. Regeln, die !$e oder #e=0 enthalten), werden mit einer Verzögerung von mindestens einer Stunde ausgeführt, damit die Daten rechtzeitig eintreffen.

Referenzlisten

Bei Regelausführungen wird immer die aktuellste Version einer Referenzliste verwendet. Wenn die Referenzliste vor Kurzem aktualisiert wurde, wird eine neue Erkennung möglicherweise verzögert angezeigt, da sie bei späteren Ausführungen der geplanten Regel möglicherweise in neuen Inhalten der aktualisierten Liste enthalten ist.

Um die Erkennungslatenz zu verkürzen, empfehlen wir Folgendes:

  • Protokolldaten werden sofort nach dem Ereignis an Google Security Operations gesendet.
  • Prüfen Sie die Regeln, um festzustellen, ob nicht vorhandene oder kontextbezogene Daten verwendet werden müssen.
  • Konfigurieren Sie eine geringere Ausführungshäufigkeit.

Regelstatus

Live-Regeln können einen der folgenden Status haben:

  • Aktiv:Die Regel ist aktiv und funktioniert normal als Liveregel.

  • Deaktiviert:Die Regel ist deaktiviert.

  • Eingeschränkt:Dieser Status wird für Live-Regeln vergeben, wenn eine ungewöhnlich hohe Ressourcennutzung vorliegt. Eingeschränkte Regeln sind von den anderen Live-Regeln im System isoliert, um die Stabilität von Google Security Operations aufrechtzuerhalten.

    Bei eingeschränkten Live-Regeln ist die erfolgreiche Ausführung der Regel nicht garantiert. Wenn die Regelausführung jedoch erfolgreich ist, werden die erkannten Probleme beibehalten und können von Ihnen geprüft werden. Bei eingeschränkten Live-Regeln wird immer eine Fehlermeldung ausgegeben, die Informationen zur Leistungsverbesserung der Regel enthält.

    Wenn sich die Leistung einer Regel mit dem Status Eingeschränkt innerhalb von drei Tagen nicht verbessert, wird ihr Status in Pausiert geändert.

    Hinweis: Wenn an dieser Regel vor Kurzem keine Änderungen vorgenommen wurden, treten diese Fehler möglicherweise nur gelegentlich auf und werden automatisch behoben.

  • Pausiert:Live-Regeln erhalten diesen Status, wenn sie drei Tage lang den Status Eingeschränkt hatten und keine Leistungsverbesserung erzielt haben. Die Ausführungen für diese Regel werden pausiert und es werden Fehlermeldungen mit Informationen zur Leistungsverbesserung der Regel zurückgegeben.

Wenn Sie eine laufende Regel wieder in den Status Aktiviert versetzen möchten, folgen Sie den Best Practices für YARA-L, um die Leistung der Regel zu verbessern und sie zu speichern. Nachdem die Regel gespeichert wurde, wird sie auf den Status Aktiviert zurückgesetzt. Es dauert mindestens eine Stunde, bis der Status wieder Eingeschränkt lautet.

Sie können die Leistungsprobleme mit einer Regel möglicherweise beheben, indem Sie sie so konfigurieren, dass sie seltener ausgeführt wird. Sie können beispielsweise eine Regel so konfigurieren, dass sie nicht mehr alle 10 Minuten, sondern einmal pro Stunde oder einmal alle 24 Stunden ausgeführt wird. Wenn Sie die Ausführungshäufigkeit einer Regel ändern, wird ihr Status jedoch nicht wieder in Aktiviert geändert. Wenn Sie eine kleine Änderung an der Regel vornehmen und sie speichern, können Sie den Status automatisch auf Aktiviert zurücksetzen.

Regelstatus werden im Dashboard für Regeln angezeigt und sind auch über die Detection Engine API zugänglich. Fehler, die von Regeln mit dem Status Eingeschränkt oder Pausiert generiert wurden, sind über die API-Methode „ListErrors“ verfügbar. Im Fehler wird angegeben, dass die Regel den Status Eingeschränkt oder Pausiert hat. Außerdem wird eine Dokumentation zur Behebung des Problems verlinkt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten